Klassifizierung

Hacker sind unberechenbar. Im Normalfall bleibt uns sowohl ihre Identität unbekannt als auch die Anzahl von Angreifern, welche es beispielsweise auf ein Unternehmen abgesehen haben. Zur Absicherung fragen potenzielle Auftraggeber deshalb einen Pentest an. Doch oftmals bleibt bei der initialen Anfrage das Szenario unklar, wie die Simulation des Hackerangriffs vonstattengehen soll. Unsere Aufgabe ist daher die Klassifizierung des Pentests gemeinsam mit dem Auftraggeber.

Wie wir uns stets in Erinnerung rufen sollten, nehmen wir bei der Ausführung von Pentests die Rolle eines Angreifers ein. Dies kann beispielsweise ein vor Kurzem entlassener IT-Leiter sein, welcher Groll gegen seinen ehemaligen Arbeitgeber hegt, oder ein unbekannter Angreifer, der sich finanziell bereichern will. Für die Planung eines Pentests müssen wir folglich die Ausgangssituation kennen und hierfür u. a. folgende Fragen klären:

  • Welche Zielsysteme bzw. Anwendungen sollen „angegriffen“ werden?
  • Werden für den Penetrationstest Zugangsdaten oder Informationen wie eine API-Dokumentation zur Verfügung gestellt?
  • Wird für den Penetrationstest ein Testsystem bereitgestellt oder müssen wir die Auswirkungen unseres Handelns stets abschätzen und ggf. Rücksprache mit dem Auftraggeber halten, um Störungen im Produktivsystem zu vermeiden?
  • Soll die Untersuchung vor Ort stattfinden?
  • Sollen sensitive Daten, wie Zugangscodes, von Angestellten über das Vortäuschen falscher Tatsachen entlockt werden?

Für all diese Fragen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das „Durchführungskonzept für Penetrationstests“ entworfen. Hieraus kann u. a. die nachfolgende Abbildung zur Klassifizierung eines Pentests entnommen werden:

Anhand dieser Kriterien können wir beispielsweise das vorgenannte Szenario vom entlassenen IT-Leiter durchspielen: Einem IT-Leiter werden im Gegensatz zu einem Hacker die internen Strukturen und Prozesse eines Unternehmens bekannt sein, wodurch ihm für seinen Angriff mehr Informationen zur Verfügung stehen (White-Box). Ebenso wird er die Anwendungen und Systeme kennen, welche unter seiner Leitung konzipiert worden sind. Hierdurch bietet sich ihm verständlicherweise eine viel größere Angriffsfläche als einem Angreifer ohne Unternehmensbezug (vollständiger Umfang). Wegen seiner Entlassung wird er wahrscheinlich aggressiv handeln, um einen möglichst großen Schaden zu verursachen. Dass dadurch Systeme zu Bruch gehen, wird ihn vermutlich nicht stören (aggressiv), sodass sein Handeln wohl über kurz oder lang entdeckt werden wird (offensichtliche Vorgehensweise). Da ihm bei der Entlassung jegliche Zugänge entzogen wurden, wird ihm nur der externe Netzwerkzugang für sein Vorhaben bleiben (Technik und Ausgangspunkt).

Klassifiziere wie im obigen Beispiel deinen Hackerangriff gegen die Dubius Payment Ltd. und begründe deine Auswahl. Die einzelnen Kriterien zur Klassifizierung werden hierfür im BSI-Dokument „Durchführungskonzept für Penetrationstests“ im Kapitel 3.4 ausführlich beschrieben.

Unterartikel

Pentest Training

Werfen Sie einen Blick auf die Kapitel vom Pentest Training und lernen Sie Pentesting:

  1. Vorwort
  2. Einführung
  3. Rechtliche Rahmenbedingungen
  4. Hacking vs. Penetration-Testing
  5. Klassifizierung
  6. Aussagekraft von Penetrationstest
  7. Penetration-Testing-Standards
  8. Der Hacking-Leitfaden
  9. Vorführung eines Pentests
  10. Risikobewertung von identifizierten Schwachstellen
  11. Aufbau Dokumentation und Berichterstellung
  12. Plauderei aus dem Nähkästchen: Insights von Dubius Payment Ltd.

binsec academy GmbH – Professionelles Pentest Training Lab

Die binsec academy GmbH bietet mit ihrem Pentest Training Lab eine hochgradig praxisorientierte Online-Plattform für realistisches Penetration Testing. In isolierten Laborumgebungen simulieren wir komplexe Unternehmensnetzwerke und moderne Angriffsvektoren, um die praktischen Fähigkeiten angehender und professioneller Penetrationstester zu schärfen. Durch das Bestehen unserer anspruchsvollen, rein praktischen Prüfung erlangen Teilnehmer das anerkannte Zertifikat zum Binsec Academy Certified Pentest Professional (BACPP) – der fundierte Nachweis für die Fähigkeit, kritische Sicherheitslücken in IT-Infrastrukturen methodisch zu identifizieren.

Das Pentest Training Lab entdecken

binsec GmbH – Experten für Penetrationstests

Als operativer Pentesting-Kern der binsec group bietet die binsec GmbH seit 2013 hochwertige, von Experten durchgeführte Penetrationstests. Wir verzichten bewusst auf automatisierte Scans: Unsere festangestellten, zertifizierten Senior-Pentest-Experten liefern manuelle Deep-Dive-Analysen von Webanwendungen, APIs, mobilen Apps, komplexen Netzwerkinfrastrukturen, Cloud-Umgebungen und hochentwickelten Red-Team-Simulationen. Spezialisiert auf stark regulierte Sektoren wie Payment, Banking und Healthcare, bieten wir klare Risikobewertungen und handlungsorientierte Berichte, um Ihre geschäftskritischen Systeme effektiv zu bewerten.

Professionelle manuelle Penetrationstests anfordern

Kontakt

binsec GmbH
Clemensstraße 6-8
60487 Frankfurt am Main
Germany

M

info@binsec.com

T

+49 69 2475607-0

Impressum

Geschäftsführer: Patrick Sauer
Prokurist: Dominik Sauer, Florian Zavatzki
Handelsregister: Frankfurt am Main, HRB97277
Umsatzsteuer-ID: DE290966808

© 2026 Alle Rechte vorbehalten binsec GmbH. Das operative Kernunternehmen der binsec group.

Datenschutzerklärung

© 2026 Alle Rechte vorbehalten binsec GmbH. Das operative Kernunternehmen der binsec group.

Datenschutzerklärung